| 发明名称 | 恶意URL的形式化检测方法和系统 | ||
| 摘要 | 本发明公开了一种恶意URL的形式化检测方法,包括:根据RFC规范,按照URL语法结构将待检测URL拆分为语法元素字符串;从拆分得到的字符串中提取指定的字符串;补全处理不存在的字符串;将补全处理后得到的字符串重新排序得到新URL,计算新URL的哈希值;遍历恶意URL特征库,用恶意URL特征库中的特征数据与待检测URL的哈希值进行对比检测。本发明还公开了一种恶意URL的形式化检测系统。本发明提出的技术方案可以有效对抗URL格式的多变性,相对传统的URL检测方法可以对经常变化格式的恶意URL有更高的检出率,也可以采用单条特征对应多条恶意URL的格式变体,所以该检测方法所需要的病毒特征库体积更小,更加节省内存和磁盘空间。 | ||
| 申请公布号 | CN102843271A | 申请公布日期 | 2012.12.26 |
| 申请号 | CN201110358011.3 | 申请日期 | 2011.11.14 |
| 申请人 | 哈尔滨安天科技股份有限公司 | 发明人 | 苏培旺;李石磊;张栗伟 |
| 分类号 | H04L12/26(2006.01)I;H04L29/06(2006.01)I | 主分类号 | H04L12/26(2006.01)I |
| 代理机构 | 代理人 | ||
| 主权项 | 恶意URL的形式化检测方法,其特征在于,包括:步骤a、根据RFC规范,按照URL语法结构将待检测URL拆分为语法元素字符串;步骤b、从拆分得到的字符串中提取指定的字符串,包括协议、域名、端口号、和路径;步骤c、判断协议字符串和端口号字符串是否存在,对不存在的字符串部分进行补全处理;步骤d、将补全处理后得到的字符串重新排序得到新URL,计算新URL的哈希值,作为与待检测URL对应的哈希值;步骤e、遍历恶意URL特征库,用恶意URL特征库中的特征数据与待检测URL对应的哈希值进行对比检测。 | ||
| 地址 | 150090 黑龙江省哈尔滨市开发区南岗集中区红旗大街162号506室 | ||